La autenticación multifactorial será clave para las empresas que protegen los activos de la nube

Al demostrar quién es usted en un sistema de administración de identidad (IDM), puede haber notado que recientemente cada vez más de ellos requieren un paso adicional además de su ID de usuario y contraseña, como indicaciones que envían códigos a su teléfono cuando inicia sesión a Gmail, Twitter o su cuenta bancaria desde un dispositivo que no sea el que usa habitualmente. Solo asegúrate de no olvidar el nombre de tu primera mascota o el lugar donde nació tu madre porque probablemente necesites ingresar esa información para demostrar tu identidad. Estos datos, necesarios en combinación con una contraseña, son una forma de autenticación multifactor (MFA).

MFA no es nuevo. Comenzó como tecnología física; las tarjetas inteligentes y los dongles USB son dos ejemplos de dispositivos que requerimos para iniciar sesión en computadoras o servicios de software una vez que se ingresó la contraseña correcta. Sin embargo, MFA ha evolucionado rápidamente este proceso de inicio de sesión para incluir otros identificadores, como las notificaciones push móviles.

"Atrás quedaron los viejos tiempos cuando las compañías tenían que desplegar tokens de hardware, y los usuarios se frustraron escribiendo códigos de seis dígitos que rotaban cada 60 segundos", dijo Tim Steinkopf, presidente de Centrify Corp., fabricante del Servicio de Identidad Centrify. "Eso fue costoso y una mala experiencia de usuario. Ahora MFA es tan simple como recibir una notificación automática en su teléfono". Sin embargo, incluso los códigos que recibimos a través del Servicio de mensajes cortos (SMS) ahora están mal vistos, según Steinkopf.

"Los SMS ya no son un método de transporte seguro para los códigos MFA, ya que pueden ser interceptados", dijo. "Para los recursos altamente sensibles, las compañías ahora deben considerar tokens criptográficos aún más seguros que siguen los nuevos estándares de la Alianza Fast IDentity Online (FIDO)". Además de los tokens de cifrado, los estándares FIDO2 incorporan la especificación de autenticación web del Consorcio World Wide Web (W3C) y el Protocolo de cliente a autenticador (CTAP). Los estándares FIDO2 también admiten gestos del usuario utilizando biometría integrada, como reconocimiento facial, deslizamiento de huellas digitales y escaneo de iris.

Para usar MFA, deberá incorporar una combinación de contraseñas y preguntas para dispositivos como teléfonos inteligentes, o usar huellas dactilares y reconocimiento facial, explicó Joe Diamond, Director de Gestión de Marketing de Productos de Seguridad en Okta, creadores de Okta Identity Management.

"Más organizaciones ahora están reconociendo los riesgos de seguridad asociados con las contraseñas de un solo uso basadas en SMS como un factor MFA. Es bastante trivial para un mal actor 'intercambiar SIM' y hacerse cargo del número móvil", dijo Diamond. "Cualquier usuario en riesgo de un ataque tan específico debe implementar segundos factores más fuertes como un factor biométrico o un token duro que crea un apretón de manos criptográfico entre el dispositivo y el servicio".

A veces MFA no es perfecto. El 27 de noviembre, Microsoft Azure sufrió una interrupción relacionada con MFA debido a un error del Sistema de nombres de dominio (DNS) que causó muchas solicitudes fallidas cuando los usuarios intentaron iniciar sesión en servicios como Active Directory.

Crédito: Alianza FIDO

Notificaciones push móviles

Los expertos ven las notificaciones push móviles como la mejor opción de los "factores" de seguridad porque tiene una combinación efectiva de seguridad y usabilidad. Una aplicación envía un mensaje al teléfono de un usuario notificándole a la persona que el servicio está intentando iniciar sesión o enviar datos.

"Estás iniciando sesión en una red, y en lugar de ingresar solo tu contraseña, te empujan a tu dispositivo donde dice sí o no, estás tratando de autenticar este dispositivo, y si dices sí, te otorga acceso a la red ", explicó Dave Lewis, Director de Asesoría Global de Seguridad de la Información (CISO) para el negocio de seguridad Duo de Cisco, que ofrece la aplicación de autenticación móvil Duo Push. Otros productos que ofrecen MFA incluyen Yubico YubiKey 5 NFC y Ping Identity PingOne.

Las notificaciones push móviles carecen de las contraseñas que se envían por SMS, ya que estas pueden ser pirateadas con bastante facilidad. El cifrado hace que las notificaciones sean efectivas, según Hed Kovetz, cofundador y CEO del proveedor de soluciones MFA Silverfort.

"Es solo un clic y la seguridad es muy sólida porque es un dispositivo completamente diferente", dijo. "Puede cambiar la aplicación si está comprometida, y está totalmente encriptada y autenticada con protocolos modernos. No es como un SMS, por ejemplo, que se ve comprometido fácilmente porque el estándar es básicamente débil y se infringe fácilmente con los ataques del Sistema de Señalización 7 (SS7) y todo tipo de otros ataques en SMS ".

MFA incorpora Zero Trust

MFA es una parte clave del modelo Zero Trust en el que no confía en ningún usuario de la red hasta que verifica que son legítimos. "La aplicación de MFA es un paso necesario para verificar que el usuario es realmente quien dice ser", dijo Steinkopf.

"El AMF desempeña un papel fundamental en el modelo de madurez Zero Trust de cualquier organización, ya que primero necesitamos establecer la confianza del usuario antes de poder otorgar acceso", agregó Okta's Diamond. "Esto también debe combinarse con una estrategia de identidad centralizada en todos los recursos para que las políticas de AMF puedan combinarse con políticas de acceso para garantizar que los usuarios correctos tengan el acceso correcto a los recursos correctos, con la menor fricción posible".

Crédito: Alianza FIDO

¿Se están reemplazando las contraseñas?

Es posible que muchas personas no estén listas para abandonar las contraseñas, pero si los usuarios van a seguir confiando en ellas, deberán protegerse. De hecho, el Informe de violación de datos de 2017 de Verizon reveló que el 81 por ciento de las violaciones de datos provienen de contraseñas robadas. Ese tipo de estadísticas hacen que las contraseñas sean un problema para cualquier organización que busque proteger sus sistemas de manera confiable.

"Si podemos resolver las contraseñas y obtenerlas y pasar a un tipo de autenticación más inteligente, evitaremos que la mayoría de las violaciones de datos ocurran hoy", dijo Kovetz de Silverfort.

No es probable que las contraseñas desaparezcan en todas partes, pero pueden eliminarse para aplicaciones específicas, señaló Kovetz de Silverfort. Dijo que eliminar las contraseñas por completo para el hardware de la computadora y los dispositivos de Internet de las cosas (IoT) sería más complejo. Otra razón por la que dijo que la autenticación completa sin contraseña puede no ocurrir tan pronto es porque las personas están psicológicamente unidas a ellas.

La transición de las contraseñas también implica un cambio cultural en las organizaciones según Lewis de Cisco. "El alejamiento de las contraseñas estáticas para MFA es un cambio cultural fundamental", dijo Lewis. "Hace que las personas hagan las cosas de manera diferente a lo que han hecho durante años".

Procesamiento de MFA e Inteligencia Artificial

La inteligencia artificial (IA) se está utilizando para ayudar a los administradores de IDM y los sistemas MFA a hacer frente a un aluvión de nuevos datos de inicio de sesión. Las soluciones de MFA de proveedores como Silverfort aplican IA para obtener información sobre cuándo es necesario y cuándo no.

"La parte de IA, cuando la combinas, te permite tomar la decisión inicial de si una autenticación específica debe requerir MFA o no", dijo Kovetz de Silverfort. Dijo que el componente de aprendizaje automático (ML) de la aplicación puede ofrecer una puntuación de alto riesgo si detecta un patrón anormal de actividad, como si alguien en China accediera repentinamente a la cuenta de un empleado y el empleado trabaja regularmente en los Estados Unidos.

"Si un usuario inicia sesión en una aplicación desde la oficina usando su propia PC emitida por la compañía, entonces no se requerirá MFA ya que eso es 'normal'", explicó Steinkopf de Centrify. "Pero si ese mismo usuario viaja al extranjero o usa el dispositivo de otra persona, se les solicitará un AMF porque el riesgo es mayor". Steinkopf agregó que MFA es a menudo un primer paso cuando se utilizan técnicas de verificación adicionales.

Los CIO también están atentos a la biometría del comportamiento, que se ha convertido en una tendencia creciente en las nuevas implementaciones de MFA. La biometría conductual utiliza software para realizar un seguimiento de cómo los usuarios escriben o deslizan. Si bien esto parece fácil, en realidad requiere el procesamiento de grandes cantidades de datos que cambian rápidamente, razón por la cual los proveedores están empleando ML para ayudar.

"El valor en ML para la autenticación sería evaluar múltiples señales complejas, conocer una 'identidad' de línea base del usuario basada en esas señales y alertar sobre anomalías en esa línea base", dijo Diamond de Okta. "La biometría del comportamiento es un ejemplo en el que esto puede entrar en juego. Comprender los matices de cómo un usuario escribe, camina o interactúa con su dispositivo requiere un sistema de inteligencia avanzado para crear ese perfil de usuario".

Perímetros desaparecidos

Con la evolución de la infraestructura en la nube, los servicios en la nube y especialmente los altos volúmenes de datos de dispositivos IoT fuera de las instalaciones, ahora hay más de un perímetro físico en la ubicación del centro de datos de una organización. También hay un perímetro virtual que necesita proteger los activos de la compañía en la nube. En ambos escenarios, la identidad juega un papel clave según Kovetz.

"Los perímetros solían definirse físicamente, como en la oficina, pero hoy los perímetros se definen por identidad", dijo Kovetz. A medida que los perímetros desaparecen, también lo hacen las protecciones que los fuertes firewalls usaban para proporcionar computadoras de escritorio con cable. La AMF podría ser una forma de reemplazar lo que los firewalls han hecho tradicionalmente, sugirió Kovetz.

• Autenticación de dos factores: quién lo tiene y cómo configurarlo Autenticación de dos factores: quién lo tiene y cómo configurarlo
• Más allá del perímetro: cómo abordar la seguridad en capas Más allá del perímetro: cómo abordar la seguridad en capas
• El modelo Zero Trust gana Steam con expertos en seguridad El modelo Zero Trust gana Steam con expertos en seguridad

", ¿dónde pones los productos de seguridad de red?" Kovetz preguntó. "La seguridad de la red realmente ya no funciona. MFA se convierte en la nueva forma de proteger realmente su red sin perímetro".

Una forma clave en que MFA está evolucionando más allá del perímetro es a través de una floreciente multitud de sistemas de identidad que se venden por software (SaaS), incluida la mayoría de los servicios de IDM que PCMag Labs revisó el año pasado. "La gran cantidad de productos SaaS que permiten a las PYMES ponerse en funcionamiento fácilmente ya operan fuera del perímetro", dijo Nathan Rowe, cofundador y Director de Producto (CPO) en el proveedor de seguridad de datos Evident. El modelo SaaS reduce drásticamente tanto el costo como la complejidad de la implementación, por lo que es una gran ayuda para las pequeñas y medianas empresas porque reduce el gasto y los gastos generales de TI, según Rowe.

Las soluciones SaaS son sin duda el futuro de IDM, lo que también las convierte en el futuro de MFA. Esa es una buena noticia, ya que incluso las pequeñas empresas se están moviendo inexorablemente a una arquitectura de TI de múltiples nubes y servicios en la nube, donde pronto será obligatorio tener acceso fácil a MFA y otras medidas de seguridad avanzadas.